Головна

Характеристика міжмережевих екранів

  1.  Cудебнік 1497 г. Загальна характеристика
  2.  Cудебнік 1550 г. Загальна характеристика, система і джерела
  3.  I. Коротка характеристика групи займаються
  4.  I. Загальна характеристика категорії стану як частина мови
  5.  II. 1. Загальна характеристика поведінки неповнолітніх
  6.  II. Лексико-граматичні розряди імен числівників. Їх характеристика.
  7.  II. Лексико-граматичні розряди займенників. Їх загальна характеристика

Робота всіх міжмережевих екранів заснована на використанні інформації різних рівнів моделі OSI. Як правило, чим вище рівень моделі OSI, на якому міжмережевий екран фільтрує пакети, тим вище ним забезпечується рівень захисту.

Міжмережеві екрани поділяють на чотири типи:

- Міжмережеві екрани з фільтрацією пакетів;

- Шлюзи сеансового рівня;

- Шлюзи прикладного рівня;

- Міжмережеві екрани експертного рівня.

Таблиця 4.5.1. Типи міжмережевих екранів і рівні моделі ISO OSI

   Рівень моделі OSI  протокол  Тип брандмауера
 прикладний  Telnet, FTP, DNS, NFS, SMTP, HTTP  · Шлюз прикладного рівня; · міжмережевий екран експертного рівня.
 подання даних    
 сеансовий  TCP, UDP  · Шлюз сеансового рівня.
 транспортний  TCP, UDP  
 Мережевий  IP, ICMP  · Міжмережевий екран з фільтрацією пакетів.
 канальний  ARP, RAP  
 фізичний  Ethernet  

Міжмережеві екрани з фільтрацією пакетів являють собою маршрутизатори або працюють на сервері програми, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Тому такі екрани називають іноді пакетними фільтрами. Фільтрація здійснюється шляхом аналізу IP-адреси джерела і приймача, а також портів входять TCP- і UDP-пакетів і порівнянням їх з сконфигурированной таблицею правил. Ці міжмережеві екрани прості у використанні, дешеві, надають мінімальний вплив на продуктивність обчислювальної системи. Основним недоліком є ??їх вразливість при підміні адрес IP. Крім того, вони складні приконфігуруванні: для їх установки потрібно знання мережевих, транспортних і прикладних протоколів.

Шлюзи сеансового рівня контролюють допустимість сеансу зв'язку. Вони стежать за підтвердженням зв'язку між авторизованим клієнтом і зовнішнім хостом (і навпаки), визначаючи, чи є запитуваний сеанс зв'язку допустимим. При фільтрації пакетів шлюз сеансового рівня грунтується на інформації, що міститься в заголовках пакетів сеансового рівня протоколу TCP, т. Е. Функціонує на два рівні вище, ніж міжмережевий екран з фільтрацією пакетів. Крім того, зазначені системи зазвичай мають функцію трансляції мережевих адрес, яка приховує внутрішні IP-адреси, тим самим, виключаючи підміну IP-адреси. Однак в таких міжмережевих екранах відсутній контроль вмісту пакетів, що генеруються різними службами. Для виключення зазначеного недоліку застосовуються шлюзи прикладного рівня.

Шлюзи прикладного рівня перевіряють вміст кожного проходить через шлюз пакета і можуть фільтрувати окремі види команд або інформації в протоколах прикладного рівня, які їм доручено обслуговувати. Це більш досконалий і надійний тип брандмауера, який використовує програми-посередники (proxies) прикладного рівня або агенти. Агенти складаються для конкретних служб мережі Інтернет (HTTP, FTP, Telnet і т. Д.) І служать для перевірки мережевих пакетів на наявність достовірних даних.

Шлюзи прикладного рівня знижують рівень продуктивності системи через повторної обробки в програмі-посереднику. Це непомітно при роботі в Інтернет при роботі по низькошвидкісних каналах, але істотно при роботі у внутрішній мережі.

Міжмережеві екрани експертного рівня поєднують в собі елементи всіх трьох описаних вище категорій. Як і міжмережеві екрани з фільтрацією пакетів, вони працюють на мережному рівні моделі OSI, фільтруючи вхідні і вихідні пакети на основі перевірки IP-адрес і номерів портів. Міжмережеві екрани експертного рівня також виконують функції шлюзу сеансового рівня, визначаючи, чи належать пакети до відповідного сеансу. І, нарешті, брандмауери експертного рівня беруть на себе функції шлюзу прикладного рівня, оцінюючи вміст кожного пакета відповідно до політики безпеки, виробленої в конкретній організації.

Замість застосування пов'язаних з додатками програм-посередників, брандмауери експертного рівня використовують спеціальні алгоритми розпізнавання та обробки даних на рівні додатків. За допомогою цих алгоритмів пакети порівнюються з відомими шаблонами даних, що теоретично повинно забезпечити більш ефективну фільтрацію пакетів.




 Структурна схема термінів |  Класифікація систем шифрування даних |  Симетричні і асиметричні методи шифрування |  Механізм електронного цифрового підпису |  Висновки по темі |  Методи розмежування доступу |  Висновки по темі |  Структурна схема термінів |  Етапи реєстрації та методи аудиту подій інформаційної системи |  Висновки по темі |

© 2016-2022  um.co.ua - учбові матеріали та реферати